ALCARED, Centro Autorizado de Servicios de FLUKE Networks en Perú
Ataque de correo electrónico multicapa: cómo una factura en PDF y el geocercado dieron lugar a malware RAT
8 de mayo de 2025
Plataformas afectadas: Windows (principalmente), Linux y macOS (si Java está instalado)
Partes afectadas: Usuarios en sistemas con Java Runtime Environment (JRE) instalado
Impacto: Otorga acceso remoto a los atacantes, lo que les permite ejecutar comandos, registrar pulsaciones de teclas, acceder a archivos, activar la cámara web/micrófono y controlar completamente el sistema infectado
Nivel de gravedad: Alto
El equipo de FortiMail IR descubrió recientemente una nueva campaña de correo electrónico que distribuye un troyano de acceso remoto (RAT) mediante múltiples técnicas de evasión dirigidas a organizaciones en España, Italia y Portugal. La campaña utiliza el proveedor de servicios de correo electrónico serviciodecorreo , configurado como remitente autorizado para varios dominios y que supera la validación SPF.
Además, emplea estrategias avanzadas de evasión, como el uso indebido de dos plataformas de intercambio de archivos, el filtrado de geolocalización y Ngrok para crear túneles seguros y ofuscados. Estas tácticas dificultan aún más la detección y ocultan eficazmente el verdadero origen del ataque, lo que facilita la distribución del malware RATty.
Esta campaña destaca la creciente sofisticación de las metodologías de ataque de malware, aprovechando las funcionalidades legítimas de las herramientas de administración remota con fines maliciosos.
La cadena de infección: los archivos PDF y HTML varían en cada correo electrónico de esta campaña, pero el patrón de la campaña de malware sigue siendo el mismo.
Descripción general
El correo electrónico
El atacante explota serviciodecorreo.es, un servicio de correo electrónico legítimo español autorizado para enviar correos electrónicos en nombre de varios dominios. Dado que el registro SPF de estos dominios designa a serviciodecorreo.es como remitente válido, los correos electrónicos maliciosos superan las comprobaciones SPF, creando una ilusión de legitimidad.
En consecuencia, es más probable que estos correos electrónicos eludan los filtros de seguridad, lo que facilita su aceptación por el servidor de correo del destinatario. Esto aumenta la probabilidad de éxito de un ataque, ya que el carácter engañoso de los correos electrónicos pasa desapercibido.
El remitente adjunta un archivo PDF solicitando al destinatario que revise dos facturas nuevas. Esto le hace creer que el correo electrónico es importante, lo que podría influir en su decisión de revisar los archivos y detalles adjuntos. Se trata de ingeniería social básica para inducir al destinatario a actuar con menos precaución y bajo presión.
El archivo PDF adjunto
El archivo PDF adjunto muestra un mensaje que indica que el archivo no se muestra correctamente e indica al destinatario que haga clic en un botón para descargarlo localmente. El botón contiene un enlace a Dropbox (plataforma de intercambio de archivos) para descargar un archivo HTML llamado «Fattura» (traducción: «Factura»). La elección de este nombre de archivo contribuye a la táctica de ingeniería social, cuyo objetivo es persuadir al destinatario para que haga clic y vea la información, lo que finalmente conduce a la entrega de una carga maliciosa.
El archivo HTML
El archivo HTML contiene un paso de validación básico con un mensaje que dice «No soy un robot».
Tras completar la verificación, se muestra una página HTML sencilla con instrucciones para hacer clic en un botón y ver el documento. El botón redirige al usuario a un enlace generado por , una herramienta de tunelización que permite a los usuarios exponer servidores locales a internet mediante URL temporales y seguras.
Traducción:Para ver este documento, haga clic en el botón de descarga a continuación.
La URL de respuesta
La siguiente URL abusa de la plataforma de intercambio de archivos MediaFire al descargar automáticamente el archivo JAR (FA-43-03-2025.jar) cuando se accede a él.
hxxps://download1528[.]mediafire[.]com/35ougpab4uhgHgb3Pmqh8niQ0hzS9b-TtTro5oPV5iUIULfNckqgXvjXQ6aTp-NF-k8EflSnFWC–Ffh4aX1N lYrzaPzgFlyxHVe0fKkLE1p3u5cntfU25orm92QdoQmXE9-gyI4hRgSYpaNcd3o12kJnPRbJhD3aqbl1Qx3vqbUtk8/ayp0ikmndrdseht/FA-43-03-2025.jar
El uso de un servicio legítimo de intercambio de archivos ayuda a los atacantes a evadir aún más la detección, ya que es menos probable que los filtros de seguridad detecten descargas de plataformas confiables. Esta táctica dificulta la detección y el bloqueo para las empresas de seguridad, ya que los sistemas de análisis automatizados, los entornos de pruebas y los investigadores de seguridad suelen inspeccionar URLs de ubicaciones fuera de la región objetivo. Al distribuir el malware selectivamente solo a geolocalizaciones específicas, los atacantes reducen el riesgo de detección temprana y aumentan la probabilidad de éxito del ataque.
A continuación, podemos ver cómo esta evasión conduce a un enlace de Google Drive que contiene un archivo legítimo:
Cómo eludir los filtros de seguridad del correo electrónico con Ngrok
Ngrok se utiliza principalmente para probar webhooks, desarrollar aplicaciones alojadas localmente y eludir las restricciones de NAT/firewall. Sin embargo, como en este caso, los cibercriminales pueden usar Ngrok indebidamente para crear enlaces de phishing dinámicos y difíciles de detectar que evaden los filtros de seguridad tradicionales.
Los atacantes usan Ngrok para generar URL dinámicamente que les ayudan a evadir los mecanismos de filtrado de seguridad del correo electrónico. Una técnica clave que emplean es el encubrimiento geográfico, que ofrece contenido diferente según la ubicación del usuario.
En este caso, cuando los usuarios acceden a la URL generada por Ngrok desde cualquier país excepto Italia, son redirigidos a un documento de Google Drive aparentemente legítimo, lo que dificulta que las soluciones de seguridad de correo electrónico clasifiquen la URL como maliciosa.
La factura falsa adjunta es idéntica para todas las organizaciones afectadas. Se trata de una supuesta factura de la organización sanitaria mundial Medinova Health Group, diseñada para eludir la mayoría de los mecanismos de seguridad del correo electrónico.
Es poco probable que la factura aparentemente legítima, compartida a través de Google Drive, levante sospechas durante el escaneo de correo electrónico y está destinada a evadir los motores de seguridad de correo electrónico sin generar sospechas de intenciones maliciosas.
Sin embargo, cuando la solicitud se origina desde Italia, la URL cambia por completo, lo que lleva a la descarga de un archivo JAR malicioso.
La mayoría de los sistemas de seguridad de correo electrónico analizan el correo electrónico desde entornos genéricos o en la nube, sin estar vinculados a una ubicación geográfica específica. Por lo tanto, cuando estos sistemas acceden a la URL incrustada, se les redirige a una página señuelo inofensiva en lugar del archivo malicioso. Esta técnica de geofencing garantiza que solo los usuarios de las regiones objetivo (en este caso, Italia) puedan acceder al contenido malicioso.
El archivo JAR
El archivo .jar contiene un tipo de malware Ratty . El nombre de archivo, «FA-43-03-2025.jar», se asemeja a un número de referencia neutro. Si bien estas convenciones de nomenclatura son comunes, es probable que este nombre se haya elegido específicamente para incitar al usuario final a hacer clic y ejecutar el archivo, asumiendo que está relacionado con un documento de pago, lo que incita a actuar precipitadamente y sin cuidado.
Ratty RAT: un troyano de acceso remoto basado en Java
Ratty RAT es un troyano de acceso remoto (RAT) basado en Java que se distribuye habitualmente como archivo .jar. Dado que Java es un lenguaje multiplataforma, Ratty RAT puede ejecutarse en varios sistemas operativos siempre que esté instalado el entorno de ejecución de Java (JRE).
Los actores de amenazas utilizan Ratty RAT para ejecutar comandos remotos, registrar pulsaciones de teclas, capturar capturas de pantalla y robar datos confidenciales, a menudo como parte de campañas de ingeniería social basadas en correo electrónico con archivos adjuntos maliciosos.
Aunque suele distribuirse como un archivo .jar, los atacantes también pueden empaquetarlo como un archivo MSI (Microsoft Installer) para aumentar su legitimidad y evitar ser detectados. Al empaquetar el RAT dentro de un MSI, pueden disfrazarlo como software legítimo o una actualización, lo que facilita engañar a los usuarios para que ejecuten el malware.
¿Qué hace que esta campaña de correo electrónico sea particularmente sofisticada?
Lo que hace que esta campaña de correo electrónico sea particularmente sofisticada es la combinación de múltiples tácticas diseñadas para evadir la detección y explotar plataformas confiables. Su estrategia multicapa utiliza técnicas de ingeniería social para manipular a los destinatarios y hacer que hagan clic en enlaces maliciosos.
El correo electrónico inicial, camuflado como factura y enviado por un remitente aparentemente legítimo, sirve como punto de entrada. El atacante realizó una investigación previa, identificando qué dominios permiten el uso del servicio de correo electrónico específico para el envío de correos, eludiendo así algunas medidas de seguridad críticas.
Los atacantes también abusan de plataformas de intercambio de archivos como Dropbox y MediaFire para distribuir su carga maliciosa, a la vez que utilizan técnicas de geolocalización para adaptar el ataque a la ubicación del destinatario. Además, el uso de Ngrok dificulta la detección al crear túneles seguros y ofuscados que ocultan el verdadero origen del ataque.
En conjunto, estos elementos crean un método muy avanzado y eficaz de distribución de malware, incluido RATty (troyano de acceso remoto), que resulta difícil de detectar y bloquear para los sistemas de seguridad tradicionales.
Protecciones de Fortinet
Fortinet ofrece múltiples capas de protección contra esta amenaza. FortiGate y FortiClient detectan y bloquean el archivo JAR malicioso utilizando las firmas de antivirus (AV) más recientes. Se recomienda a los clientes que actualicen sus sistemas periódicamente con la base de datos de antivirus más reciente.
Los clientes de Fortinet también están protegidos contra esta campaña con los servicios AntiSPAM, Filtrado Web, IPS y Antivirus de FortiGuard. FortiMail reconoce el correo electrónico de phishing como «virus detectado» y la función de Desarme y Reconstrucción de Contenido (CDR) de FortiMail detecta y mitiga automáticamente esta amenaza.
Además, FortiSandbox, integrado en FortiMail, las soluciones de filtrado web y antivirus de Fortinet, proporciona protección antiphishing en tiempo real contra intentos de phishing conocidos y desconocidos.
Perception Point Email Security, ahora parte de Fortinet FortiMail, también detecta y bloquea proactivamente correos electrónicos que contienen URL maliciosas geolocalizadas utilizadas para distribuir malware y contenido de phishing, así como el propio archivo JAR RATty. Esto se logra mediante técnicas avanzadas de escaneo dinámico y análisis estático.
Combinadas, estas capacidades de detección garantizan la mitigación de las amenazas durante la entrega, a través de correos electrónicos y enlaces maliciosos, y al descargarse, brindando protección integral en toda la cadena de ataque.
Además de las defensas técnicas, las organizaciones deben adoptar programas de capacitación en concientización sobre seguridad (SAT) y realizar simulacros de phishing con regularidad. La capacitación gratuita NSE de Fortinet : NSE 1, el módulo de concientización sobre seguridad de la información sobre amenazas de Internet, está diseñado para ayudar a los usuarios finales a aprender a identificar y protegerse de los ataques de phishing.
El servicio de simulación de phishing FortiPhish utiliza simulaciones del mundo real para ayudar a las organizaciones a evaluar la concientización y la vigilancia de los usuarios ante las amenazas de phishing, y para capacitar y reforzar las prácticas adecuadas cuando los usuarios se enfrentan a ataques de phishing dirigidos. Al capacitar a los usuarios para reconocer y responder a contenido sospechoso, estas iniciativas reducen significativamente el riesgo de ataques exitosos de phishing o malware.
Si cree que esta o cualquier otra amenaza de ciberseguridad ha afectado a su organización, comuníquese con nuestro Equipo Global de Respuesta a Incidentes de FortiGuard .
Fuente: